보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

오래된 레디스 서버를 악용하는 공격자들, 메타스플로잇 미터프리터 심어

입력 : 2024-04-14 09:29
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
공격자들이 오래된 레디스 서버를 찾아나서기 시작했다. 그리고 찾으면 설정 오류나 취약점을 통해 미터프리터라는 해킹 도구를 심는다. 이 해킹 도구는 원래 합법적인 목적으로 만들어졌으나 공격자들도 곧잘 사용한다.

[보안뉴스 = 엘리자베스 몬탈바노 IT 칼럼니스트] 해커들이 8년 된 레디스 오픈소스 데이터베이스 서버를 악용해 메타스플로잇(Metasploit)의 미터프리터 모듈을 기반으로 한 공격을 실행하고 있다. 이를 통해 피해자의 시스템을 장악하거나 멀웨어를 퍼트리는 등의 공격을 실시할 수 있다고 한다.

[이미지 = gettyimagesbank]


보안 업체 안랩(ASEC)이 자사 블로그를 통해 공개한 글에 의하면 레디스가 구현되는 과정 중에 설정에 오류가 나거나 취약한 부분이 만들어지기도 하는데, 공격자들은 바로 그 지점을 노려 공략하는 것으로 보인다고 한다. “예를 들어 인증 과정이 생략된 상태로 인터넷에 연결된 레디스 서버들의 경우 공격자들이 쉽게 악용할 수 있습니다. 레디스 서버로 접근한 후, 이미 알려진 공격 기법들을 활용해 멀웨어를 심거나 유포하는 것이죠.”

이번 캠페인에 사용되는 미터프리터(Meterpreter)의 경우, 메타스플로잇의 구성 요소 중 하나다. 메타스플로잇은 합법적인 모의 해킹에 사용되는 정상적인 도구이지만 공격자들이 실제 해킹 공격에 자주 악용한다. 이런 도구들 중 대표적인 것으로는 코발트스트라이크(Cobalt Strike)가 있다.

“공격자들은 피해자의 시스템에 메타스플로잇을 설치함으로써 해당 시스템을 통제할 수 있게 됩니다. 뿐만 아니라 미터프리터의 각종 기능을 활용하여 피해 조직의 내부 네트워크에도 침투해 장악할 수도 있습니다.” 안랩 측의 설명이다.

어떤 절차로 공격이 이뤄지나
레디스는 오픈소스로 제공되는 데이터 저장 서비스 중 하나다. 클라우드가 유행하면서 레디스도 새로이 각광 받고 있으며, 세션 관리 도구, 메시지 브로커 등으로 널리 활용되고 있다. 널리 사용되는 서비스는 반드시 해커들의 관심을 끌게 되어 있는데, 이 레디스 역시 예외가 아니다. 공격자들은 이미 여러 차례 잘못 설정된 레디스 서버를 찾아 공략한 바 있고, 그런 식으로 킨싱(Kinsing), 피투피인펙트(P2PInfect), 스키드맵(Skidmap), 미고(Migo), 헤드크랩(HeadCrab) 등의 멀웨어가 유포됐었다.

메타스플로잇 미터프리터를 활용한다고 했을 때 공격자들은 크게 두 가지 방법으로 레디스를 악용해 멀웨어를 퍼트린다.
1) 멀웨어를 실행시키는 명령을 크론(Cron) 임무 중 하나로서 등록한다.
2) SLAVEOF 명령을 사용해 해당 명령을 레디스 서버의 슬레이브 서버로 설정한다. 여기서 레디스 서버는 멀웨어를 내포하고 있다.

ㄸ 안랩에 의하면 “레디스 3.x 버전과 윈도 OS를 함께 사용하고 있는 시스템들이 주로 공략되고 있다”고 한다. 레디스 3.x는 2016년에 개발된 버전이다. 즉, 낡은 버전이라는 것이다. “오래된 플랫폼이라는 건 이번에 발견된 캠페인이나 그와 비슷한 공격이 이전에도 있었을 수 있다는 뜻입니다. 지금 캠페인에 활용되는 취약점이나 설정 오류들이 수년 동안 그대로 존재했을 가능성이 높으니까요.”

이번 캠페인에서 공격자는 제일 먼저 프린트스푸퍼(PrintSpoofer)라는 권한 상승 도구를 피해자의 레디스 설치 경로에 심었다. “레디스 버전이 오래 됐다는 건 제대로 관리가 되지 않는다는 뜻입니다. 그러니 설치 경로에 수상한 도구가 하나 심겨져 있어도 아무도 모를 때가 더 많습니다. 공격자들은 이렇게 아무도 관리하지 않는 부분들을 잘 찾아서 노리는 편입니다.”

이 때 공격자들은 프린트스푸퍼를 서트유틸(CertUtil)이라는 도구를 사용해 설치한다고 안랩 측은 설명한다. “보통 공격자들이 이런 종류의 공격을 실행할 때 사용하는 건 파워셸(PowerShell)입니다. 이번 캠페인은 파워셸 대신 서트유틸이 사용됐다는 점에서 차이를 보입니다.”

악성 백도어로서 미터프리터
프린트스푸터를 설치한 뒤 공격자들은 미터프리터 스테이저(Meterpreter Stager)를 설치했다. 미터프리터 스테이저는 미터프리터의 모듈 두 개 중 하나다. 두 모듈 다 설치되는 방법 외에는 다를 바가 없다. 참고로 코발트 스트라이크를 구성하는 요소들 중 해커들이 가장 많이 사용하는 것이 비컨이듯, 메타스플로잇의 구성 요소 중 해커들이 가장 좋아하는 게 미터프리터다.

“공격자들이 미터프리터 스테이저를 사용했다는 건 모듈을 공격자가 운영하는 C&C 서버로부터 직접 다운로드 받아 설치했다는 뜻입니다. 그렇게 했을 때 흔적을 덜 남기게 된다는 장점이 있습니다.” 여기까지 공격을 완료하면 피해자 시스템 내 메모리 안에서 미터프리터가 실행된다. 공격자는 감염된 시스템에 대한 제어 권한을 갖게 된다. 그런 다음 미터프리터의 여러 가지 기능을 통해 보다 다양한 공격을 할 수 있다.

감염되지 않으려면 어떻게 해야 할까? 안랩은 제일 먼저 “오래된 레디스 3.x부터 업그레이드 해야 한다”고 강조한다. “최신 버전으로 업그레이드 해서 현재까지 알려진 취약점들을 전부 해결한 상태로 운영해야 합니다. 이게 최소한의 방어 방법입니다. 그 다음으로 관리자들은 레디스 서버로의 외부 접근을 제한하는 보안 도구를 설치하는 것을 고려해봄직 합니다.”

글 : 엘리자베스 몬탈바노(Elizabeth Montalbano), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)